Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Opisana podatność dotyczy komponentu Windows Shell, a dokładniej sposobu, w jaki Eksplorator plików obsługuje skróty typu .lnk. Atak polega na przygotowaniu złośliwego pliku skrótu zawierającego odwołanie do zdalnej ścieżki UNC kontrolowanej przez napastnika. W efekcie już samo otwarcie katalogu z takim plikiem może spowodować próbę uwierzytelnienia SMB i ujawnienie hasha NetNTLMv2.
To scenariusz szczególnie niebezpieczny, ponieważ nie wymaga klasycznego uruchomienia pliku przez użytkownika. W praktyce wystarczy, że ofiara wyświetli zawartość folderu, a system podejmie komunikację z infrastrukturą atakującego.
W skrócie
Podatność oznaczona jako CVE-2026-32202 umożliwia przechwycenie hashy NTLMv2 z systemów Windows bez konieczności kliknięcia w spreparowany skrót. Mechanizm opiera się na automatycznym odwołaniu do zewnętrznego zasobu SMB podczas parsowania lub renderowania właściwości pliku .lnk przez Eksplorator plików.
- atak wykorzystuje złośliwy plik
.lnk, - wymaga jedynie otwarcia folderu przez ofiarę,
- prowadzi do wycieku materiału uwierzytelniającego NTLMv2,
- może zostać wykorzystany w atakach relay lub do łamania haseł offline,
- szczególnie zagraża środowiskom nadal opartym na NTLM.
Kontekst / historia
Nadużycia związane ze skrótami Windows nie są nowym zjawiskiem. Od lat operatorzy kampanii phishingowych i ataków ukierunkowanych wykorzystują pliki .lnk, biblioteki, ikony oraz ścieżki UNC do wymuszania połączeń sieciowych z serwerami kontrolowanymi przez przeciwnika.
Takie techniki są szczególnie skuteczne w środowiskach korporacyjnych, gdzie użytkownicy regularnie przeglądają współdzielone katalogi, archiwa pobrane z poczty, zasoby synchronizowane z chmury lub zawartość nośników przenośnych. W tym przypadku zagrożenie wpisuje się w znany wzorzec pozyskiwania poświadczeń przy minimalnej interakcji użytkownika.
Znaczenie operacyjne tego typu błędów często bywa wyższe niż sugeruje sama klasyfikacja podatności. Nawet jeśli luka nie prowadzi bezpośrednio do wykonania kodu, wyciek poświadczeń może stać się punktem wyjścia do dalszej kompromitacji środowiska.
Analiza techniczna
Z technicznego punktu widzenia złośliwy plik .lnk zawiera ścieżkę UNC wskazującą na udział SMB kontrolowany przez atakującego. Gdy Eksplorator plików analizuje metadane skrótu albo pobiera elementy potrzebne do jego prezentacji, system może automatycznie zainicjować połączenie do zdalnego zasobu.
W rezultacie dochodzi do wysłania żądania uwierzytelnienia NTLMv2. Celem ataku nie jest więc natychmiastowe uruchomienie kodu, lecz przechwycenie challenge-response NetNTLMv2, które może zostać wykorzystane w dalszych działaniach ofensywnych.
- atak relay wobec usług akceptujących NTLM,
- łamanie haseł offline, jeśli polityka haseł jest słaba,
- pozyskanie danych wejściowych do ruchu bocznego,
- przygotowanie gruntu pod eskalację uprawnień.
Istotnym elementem jest to, że niebezpieczne okazują się nie tylko pliki wykonywalne, lecz również metadane przetwarzane automatycznie przez powłokę systemową. To właśnie ten mechanizm sprawia, że samo przeglądanie katalogu może wyzwolić niepożądane połączenie sieciowe.
Skuteczność ataku zależy jednak od warunków środowiskowych. Kluczowe znaczenie ma możliwość komunikacji SMB do hosta atakującego, brak filtrowania ruchu wychodzącego, aktywne użycie NTLM oraz zachowanie konkretnej wersji systemu Windows i Eksploratora plików.
Konsekwencje / ryzyko
Najbardziej bezpośrednią konsekwencją jest wyciek hashy NTLMv2 użytkownika zalogowanego do systemu. Choć nie oznacza to ujawnienia hasła w formie jawnej, przechwycony materiał uwierzytelniający może znacząco przyspieszyć dalsze etapy ataku.
W organizacjach o słabej segmentacji sieci i historycznie utrzymywanym NTLM ryzyko może obejmować zarówno przejęcie kont, jak i ruch boczny pomiędzy hostami. Zagrożenie rośnie, gdy napastnik potrafi dostarczyć złośliwy plik do lokalizacji regularnie otwieranych przez użytkowników.
- przejęcie kont użytkowników,
- dostęp do udziałów SMB i usług wewnętrznych,
- ruch boczny w sieci lokalnej,
- eskalacja uprawnień w kolejnych etapach intruzji,
- większa skuteczność kampanii post-exploitation.
Szczególnie niebezpieczne jest to, że użytkownik może nie zauważyć żadnego wyraźnego symptomu poza samym otwarciem folderu. Z perspektywy obrony to właśnie niski poziom interakcji czyni ten wektor atrakcyjnym dla atakujących.
Rekomendacje
Organizacje powinny potraktować ten problem jako połączenie podatności systemowej i ryzyka wynikającego z architektury uwierzytelniania. Skuteczna obrona wymaga zarówno aktualizacji systemów, jak i ograniczenia możliwości wykorzystania NTLM w praktyce.
- priorytetowo wdrożyć poprawki bezpieczeństwa dla wspieranych wersji Windows,
- ograniczyć lub wyłączyć NTLM tam, gdzie jest to operacyjnie możliwe,
- blokować wychodzący ruch SMB do internetu oraz do nieautoryzowanych segmentów,
- monitorować nietypowe próby uwierzytelnienia SMB i korelować je z aktywnością wokół plików
.lnk, - wykrywać skróty zawierające odwołania UNC, zdalne ścieżki robocze i nietypowe metadane,
- skanować archiwa, obrazy i repozytoria współdzielone pod kątem podejrzanych artefaktów,
- wzmocnić politykę haseł oraz wdrożyć MFA tam, gdzie to możliwe,
- uświadamiać użytkowników, że nawet przeglądanie nieznanych katalogów może stanowić zagrożenie.
Podsumowanie
CVE-2026-32202 pokazuje, że pozornie niegroźne mechanizmy powłoki systemowej mogą zostać wykorzystane do skutecznego pozyskiwania poświadczeń. Wektor oparty na plikach .lnk i ścieżkach UNC jest szczególnie groźny w środowiskach Windows, które nadal dopuszczają szerokie użycie NTLM i nie filtrują ruchu SMB.
Z perspektywy bezpieczeństwa kluczowe znaczenie mają szybkie aktualizacje, ograniczenie NTLM, blokowanie wychodzącego SMB oraz detekcja podejrzanych skrótów. To podatność, która nie musi od razu oznaczać pełnego przejęcia systemu, ale może bardzo skutecznie otworzyć drogę do kolejnych faz ataku.